Сертификаты
Раздел с информацией о создании, загрузке и управлении SSL-сертификатами. Они необходимы, чтобы веб-ресурс работал по защищенному протоколу HTTPS, а браузер не выдавал ошибку безопасности.
Last updated
Was this helpful?
Раздел с информацией о создании, загрузке и управлении SSL-сертификатами. Они необходимы, чтобы веб-ресурс работал по защищенному протоколу HTTPS, а браузер не выдавал ошибку безопасности.
Last updated
Was this helpful?
В этом разделе отображаются SSL-сертификаты или цепочки сертификатов, список которых формируется модулями:
Для просмотра основной информации о сертификате нажмите кнопку .
В таблице Действующие сертификаты отображаются:
Автоматически сгенерированные цепочки сертификатов;
Загруженные цепочки сертификатов, используемые модулями Ideco NGFW.
В таблице Загруженные сертификаты отображаются:
Все загруженные цепочки сертификатов;
Корневой сертификат Ideco NGFW.
Раздел позволяет загружать свои сертификаты в хранилище доверенных сертификатов OC Fedora на NGFW. Подробнее о системных сертификатах - по ссылке. После добавления сертификата в таблицу Системные сертификаты NGFW будет доверять загруженному сертификату и всем сертификатам, подписанным загруженным сертификатом:
NGFW позволяет выпустить или загрузить корневые и не корневые (пользовательские) сертификаты.
Корневые сертификаты обязательно должны иметь разрешение выдавать дочерние сертификаты X509v3 Basic Constraints: CA: TRUE. При первоначальной установке и запуске NGFW корневой (самоподписанный) сертификат генерируется автоматически. Его можно скачать, нажав на соответствующую кнопку.
Пользовательские сертификаты - любые сертификаты на домен. Могут быть как подписанными корпоративным корневым сертификатом, так и выданными Certificate Authority (CA) или Центрами сертификации. NGFW автоматически генерирует и подписывает сертификаты на домены, которые вы указываете для модулей.
Чтобы выпустить сертификат, NGFW выполняет следующие действия:
1. Создает локальную цепочку сертификатов, подписанную корневым (самоподписанным) сертификатом.
2. Параллельно с созданием локальной цепочки сертификатов отправляет запрос на выпуск цепочки в Let’s Encrypt.
Условия автоматического выпуска сертификатов Let's Encrypt:
Наличие доменного имени, зарегистрированного на статический белый IP-адрес, который назначен на внешний интерфейс Ideco NGFW;
Открытый 80 TCP-порт на внешнем интерфейсе. После установки Ideco NGFW 80 TCP-порт по умолчанию открыт во внешнюю сеть.
Если при соблюдении перечисленных выше условий сертификат Let’s Encrypt не выпускается автоматически, перейдите в раздел Управление сервером -> Терминал веб-интерфейса NGFW и воспользуйтесь командой:
Команда для просмотра логов:
3. При успешном выпуске цепочки сертификатов Let’s Encrypt заменяет локальную цепочку.
4. Если выпуск цепочки сертификатов Let’s Encrypt завершился неудачей, продолжает использовать локальную цепочку сертификатов.
Проверит загруженные сертификаты. Если сертификат найден, то заменит действующую цепочку сертификатов на домен на найденную;
Если для данного домена новые сертификаты не загружались, Ideco NGFW обратится к Let’s Encrypt для выпуска новой цепочки;
Если цепочка от Let’s Encrypt получена, она отобразится в таблице;
Если получить цепочку сертификатов от Let’s Encrypt не удалось, продолжит использовать локальную цепочку сертификатов.
Для работы Ideco Client под MacOS необходимо, чтобы срок действия сертификата на домен или IP-адрес NGFW, введенный в разделе Пользователи -> Ideco Client не превышал 825 дней.
Чтобы перевыпустить локальную цепочку сертификатов, выполните действия:
1. Перейдите в раздел Управление сервером -> Терминал.
2. Перейдите в директорию /var/cache/ideco/cert-backend, выполнив команду:
3. Выведите содержимое директории, выполнив команду ls.
4. Скопируйте название файла сертификата, который требуется перевыпустить. Названия файлов будут иметь вид:
test.ideco.ru-self-sign_chain_833bcda78229059d2c2886548c75e9e3.pem, где test.ideco.ru - доменное имя или IP-адрес, на который выпущен сертификат.
5. Удалите файл, выполнив команду:
Если требуется повторить попытку получения сертификата Let’s Encrypt вместо самоподписанного, то нужно нажать на кнопку Перевыпустить в столбце Управление.
Чтобы перевыпустить не корневую цепочку сертификатов, нажмите кнопку в столбце Управление в таблице Действующие сертификаты. NGFW будет актуализировать цепочку следующим образом:
Для перевыпуска корневого сертификата нажмите кнопку напротив соответствующей цепочки в таблице Загруженные сертификаты. NGFW заменит ее на автоматически сгенерированный корневой сертификат.
При замене/перевыпуске корневого сертификата в разделе Сертификаты, IPsec-подключения перестанут работать. Для восстановления соединения вам потребуется заменить сертификат в свойствах подключения. Для этого перейдите в раздел Сервисы -> IPsec и нажмите на с нужным подключением.
Проверить, что срок действия загруженного пользовательского или сгенерированного NGFW сертификата не превышает 825 дней, можно в разделе Сервисы -> Сертификаты -> Действующие сертификаты, нажав на .
6. Перейдите в раздел Сервисы -> Сертификаты -> Действующие сертификаты и перевыпустите сертификат на домен или IP-адрес NGFW, нажав на .
Проверить, перевыпустился ли сертификат на новый срок, можно , нажав на .
